מתבצע איפוס של סיסמאות Edge

Edge for Private Cloud גרסה 4.18.05

אפשר לאפס את מנהלי המערכת של OpenLDAP, Apigee Edge, המשתמש בארגון של Edge וגם סיסמאות Cassandra לאחר השלמת ההתקנה.

איפוס הסיסמה ל-OpenLDAP

בהתאם להגדרות של Edge, אפשר להתקין את OpenLDAP בתור:

• מופע יחיד של OpenLDAP המותקן בצומת של שרת הניהול. לדוגמה, הגדרת Edge עם 2 צמתים, 5 צמתים או 9 צמתים.
• מספר מופעי OpenLDAP מותקנים בצמתים של שרת ניהול, שהוגדרו עם OpenLDAP רפליקציה. לדוגמה, בתצורת Edge עם 12 צמתים.
• כמה מכונות OpenLDAP שמותקנות בצמתים משלהם, שמוגדרות עם שכפול של OpenLDAP. לדוגמה, בהגדרה של Edge עם 13 צמתים.

הדרך שבה תאפסו את הסיסמה של OpenLDAP תלויה בהגדרות שלכם.

למכונה אחת של OpenLDAP שמותקנת בשרת הניהול, מבצעים את הפעולות הבאות:

1. בצומת של שרת הניהול, מריצים את הפקודה הבאה כדי ליצור את הסיסמה החדשה ל-OpenLDAP:

   /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o OLD_PASSWORD -n NEW_PASSWORD

2. מריצים את הפקודה הבאה כדי לשמור את הסיסמה החדשה לצורך גישה של שרת הניהול:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p NEW_PASSWORD

   הפקודה הזו מפעילה מחדש את שרת הניהול.

בהגדרת רפליקציית OpenLDAP כאשר OpenLDAP מותקן בשרת הניהול צמתים, צריך לבצע את השלבים שלמעלה בשני הצמתים של שרתי הניהול כדי לעדכן את סיסמה.

בהגדרת רפליקציה של OpenLDAP כאשר OpenLDAP נמצא בצומת שאינו שרת הניהול, חשוב לשנות קודם את הסיסמה בשני הצמתים של OpenLDAP, ואז בשני הצמתים של שרת הניהול.

איפוס סיסמת מנהל המערכת

כדי לאפס את הסיסמה של אדמין המערכת, צריך לאפס את הסיסמה בשני מקומות:

• שרת ניהול
• ממשק משתמש

כדי לאפס את הסיסמה של אדמין המערכת:

1. בצומת של ממשק המשתמש, מפסיקים את ממשק המשתמש של Edge:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui stop

2. בשרת הניהול, מריצים את הפקודה הבאה כדי לאפס את הסיסמה:
   

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW

3. עורכים את קובץ התצורה להתקנה שקטה ששימש להתקנת ממשק המשתמש של Edge, ומגדירים את המאפיינים הבאים:

   APIGEE_ADMINPW=NEW_PASSWORD
   SMTPHOST=smtp.gmail.com
   SMTPPORT=465
   SMTPUSER=foo@gmail.com
   SMTPPASSWORD=bar
   SMTPSSL=y
   SMTPMAILFROM="My Company <myco@company.com>"

   חשוב לזכור שצריך לכלול את מאפייני ה-SMTP כשמזינים את הסיסמה החדשה, כי כל המאפיינים בממשק המשתמש מתאפסים.

4. משתמשים בכלי apigee-setup כדי לאפס את הסיסמה בממשק המשתמש של Edge קובץ תצורה:

   /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile

5. (רק אם TLS מופעל בממשק המשתמש) מפעילים מחדש את TLS בממשק המשתמש של Edge, כפי שמתואר בקטע הגדרת TLS לממשק המשתמש לניהול.

בסביבה של רפליקציית OpenLDAP עם שרתי ניהול מרובים, איפוס הסיסמה בשרת ניהול אחד מעדכן את שרת הניהול השני באופן אוטומטי. עם זאת, צריך לעדכן בנפרד את כל הצמתים של ממשק המשתמש של Edge.

איפוס סיסמה של משתמש בארגון

כדי לאפס את הסיסמה של משתמש בארגון, אפשר להשתמש בכלי apigee-service כדי: להפעיל את apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

לדוגמה:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p Foo12345 -a admin@myCo.com -P adminPword

למטה מוצג קובץ תצורה לדוגמה שבו ניתן להשתמש עם הסימן "-f" אפשרות:

USER_NAME= user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

אפשר גם להשתמש ב-API של עדכון משתמש כדי לשנות את הסיסמה של המשתמש.

כללי סיסמאות של משתמשים בארגון וב-SysAdmin

השתמש בקטע זה כדי לאכוף את הרמה הרצויה של אורך וחוזק הסיסמה עבור ה-API שלך. משתמשי ניהול. ההגדרות משתמשות בסדרה של ביטויים רגולריים שהוגדרו מראש (וממוספרים באופן ייחודי) כדי לבדוק את תוכן הסיסמה (כמו אותיות רישיות, אותיות קטנות, מספרים ותווים מיוחדים). כותבים את ההגדרות האלה בקובץ /opt/apigee/customer/application/management-server.properties. אם הקובץ לא קיים, יוצרים אותו.

לאחר העריכה של management-server.properties, צריך להפעיל מחדש את שרת הניהול:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

לאחר מכן תוכלו להגדיר דירוגים של חוזק סיסמה על ידי קיבוץ שילובים שונים של הבעות פנים. לדוגמה, אפשר לקבוע שסיסמה עם אות גדולה אחת לפחות ואות קטנה אחת לפחות תקבל דירוג חוזק של 3, אבל סיסמה עם אות קטנה אחת לפחות ומספר אחד תקבל דירוג חוזק גבוה יותר של 4.

conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

conf_security_password.validation.regex.1=^(.)\\1+$

conf_security_password.validation.regex.2=^.*[a-z]+.*$

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

conf_security_password.validation.regex.4=^.*[0-9]+.*$

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

conf_security_password.validation.regex.6=^.*[_]+.*$

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

regex-index-list,[AND|OR],rating

conf_security_rbac.password.validation.enabled=true

מתבצע איפוס של הסיסמה של Cassandra

כברירת מחדל, המשלוח של Cassandra נשלח כשהאימות מושבת. אם מפעילים אימות, המערכת משתמשת במשתמש מוגדר מראש בשם 'cassandra' עם הסיסמה 'cassandra'. אפשר להשתמש בחשבון הזה, להגדיר לו סיסמה אחרת או ליצור משתמש חדש ב-Cassandra. להוסיף, להסיר ו לשנות משתמשים באמצעות הצהרות CREATE/ALTER/DROP USER של Cassandra.

מידע נוסף על הפעלת אימות ב-Cassandra זמין במאמר הפעלת אימות ב-Cassandra.

כדי לאפס את הסיסמה של Cassandra, צריך:

• מגדירים את הסיסמה בצומת אחד של Cassandra והיא תשודר לכל הצמתים של Cassandra ב-ring
• עדכון שרת הניהול, מעבדי הודעות, נתבים, שרתי Qpid ו-Postgres שרתים בכל צומת עם הסיסמה החדשה

מידע נוסף זמין בכתובת http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

כדי לאפס את הסיסמה של Cassandra:

1. מתחברים לצומת אחד של Cassandra באמצעות הכלי cqlsh ופרטי הכניסה שמוגדרים כברירת מחדל. צריך לשנות את הסיסמה רק בצומת אחד של Cassandra, והיא תהיה שידור לכל הצמתים של Cassandra בזירה:

   /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

   כאשר:

   • cassIP היא כתובת ה-IP של צומת Cassandra.
   • 9042 הוא נמל קסנדרה.
   • שם המשתמש שמוגדר כברירת מחדל הוא cassandra.
   • סיסמת ברירת המחדל היא cassandra. אם שיניתם את הסיסמה בעבר, צריך להשתמש בסיסמה הנוכחית.
2. מריצים את הפקודה הבאה בתור הבקשה של cqlsh> כדי לעדכן את הסיסמה:

   ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

   אם הסיסמה החדשה מכילה תו של מירכאות בודדות, צריך לסמן בתו בריחה (escape) את התו באמצעות הצבת תו של מירכאות בודדות לפניו.

3. יציאה מהכלי cqlsh:

   exit

4. בצומת של שרת הניהול, מריצים את הפקודה הבאה:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

   אפשר גם להעביר קובץ לפקודה שמכילה את שם המשתמש והסיסמה החדשים:

   apigee-service edge-management-server store_cassandra_credentials -f configFile

   כאשר השדה configFile מכיל את הפרטים הבאים:

   CASS_USERNAME=CASS_USERNAME
   CASS_PASSWORD=CASS_PASSWROD

   הפקודה הזו מפעילה מחדש את שרת הניהול באופן אוטומטי.

5. חוזרים על שלב 4 ב:
   • כל מעבדי ההודעות
   • כל הנתבים
   • כל שרתי ה-Qpid (קצה-qpid-server)
   • שרתי Postgres (End-postgres-server)

הסיסמה של Cassandra השתנתה.

איפוס הסיסמה ל-PostgreSQL

כברירת מחדל, במסד הנתונים של PostgreSQL מוגדרים שני משתמשים: postgres ו-apigee. סיסמת ברירת המחדל של שני המשתמשים היא 'postgres'. יש לפעול לפי התהליך הבא כדי לשנות את סיסמת ברירת מחדל.

שינוי הסיסמה בכל הצמתים הראשיים ב-Postgres. אם הגדרתם שני שרתי Postgres במצב מאסטר/המתנה, צריך לשנות את הסיסמה רק בצומת הראשי. מידע נוסף זמין במאמר הגדרת רפליקציה של Master-Standby ל-Postgres.

1. בצומת Master Postgres, משנים את הספריות ל-/opt/apigee/apigee-postgresql/pgsql/bin.
2. מגדירים את PostgreSQL 'postgres' סיסמת משתמש:
   1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:

      psql -h localhost -d apigee -U postgres

   2. כשמוצגת בקשה, מזינים את הסיסמה של המשתמש 'postgres' כ-'postgres'.
   3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את סיסמת ברירת המחדל:

      ALTER USER postgres WITH PASSWORD 'apigee1234';

   4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:

      \q

3. מגדירים את הסיסמה של משתמש 'apigee' ב-PostgreSQL:
   1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:

      psql -h localhost -d apigee -U apigee

   2. כשמתבקשים, מזינים את הסיסמה של המשתמש 'apigee' כ-'postgres'.
   3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את סיסמת ברירת המחדל:

      ALTER USER apigee WITH PASSWORD 'NEW_PASSWORD';

   4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:

      \q

4. הגדרה של APIGEE_HOME:

   export APIGEE_HOME=/opt/apigee/edge-postgres-server

5. מצפינים את הסיסמה החדשה:

   sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

   הפקודה הזו מחזירה את הסיסמה המוצפנת, כפי שמוצג בהמשך. הסיסמה המוצפנת מתחילה אחרי ":" ולא כולל את ":".

   Encrypted string:WheaR8U4OeMEM11erxA3Cw==

6. מעדכנים את הצומת של שרת הניהול באמצעות הסיסמאות החדשות המוצפנות של המשתמשים 'postgres' ו-'apigee'.
   1. בשרת הניהול, משנים את הספרייה ל- /opt/apigee/customer/application
   2. עורכים את הקובץ management-server.properties כדי להגדיר את המאפיינים הבאים. אם הקובץ הזה לא קיים, יוצרים אותו.
   3. צריך לוודא שהקובץ נמצא בבעלות 'apigee' user:

      chown apigee:apigee management-server.properties

7. מעדכנים את הסיסמה החדשה המוצפנת בכל הצמתים של שרת Postgres ושל שרת Qpid.
   1. בצומת Postgres Server או Qpid Server, משנים את הספרייה ל- /opt/apigee/customer/application
   2. עריכה של הקבצים הבאים. אם הקבצים האלה לא קיימים, יוצרים אותם:
      • postgres-server.properties
      • qpid-server.properties
   3. מוסיפים לקבצים את המאפיינים הבאים:
   4. מוודאים שהקבצים בבעלות המשתמש 'apigee':

      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties

8. תצטרכו להפעיל מחדש את הרכיבים הבאים לפי הסדר הזה:
   1. מסד נתונים של PostgreSQL:

      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart

   2. שרת Qpid:

      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart

   3. שרת Postgres:

      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart

   4. שרת ניהול:

      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart